cerv adore

Úterý Únor 26 13:00:40 CET 2002

Zdravim vsechny fanousky Linuxu!

Mam jeden problem. Mam server s Linuxem Redhat 6.2 s jadrem 2.2.14-6.0.1. Minuly tyden tento server byl napaden cervem Adore.

Poznal jsem to tak, ze se pri bootovani systemu zobrazuje:

Usage: /etc/sbin/ava {h,u,r,i,v,U} [file, PID or dummy (for 'U')]

        h hide file
        u unhide file
        r execute as root
        U uninstall adore
        i make PID invisible
        v make PID visible

Na strankach SANS QIAC - http://www.sans.org/y2k/adore.htm jsem si nasel povidani o tomto cervu. No a zda jsem narazil na problem. Pisi tam, ze tento cerv napada servery, ktere nemaji zaplatovany bind, wu-ftpd, LPRng (u RH7) a rpc statd. Kdyz jsem se podival na odkazy do RedHat Errata, tak jsem zjistil, ze tyto zaplaty tam nainstalovane jsou. Tak jak se tam ten cerv dostal? Navic tam je odkaz na program adorefind, ktery by mel toho cerva detekovat a popripade jej odinstalovat. Ale tento program mi hlasi, ze tento cerv v systemu neni. Ale ja vim, ze tam je (a nebo neco jineho).

Nevite nekdo, jestli je to nova verze cervu Adore a nebo neco podobneho?

Jinak na serveru mi bezi: sendmail, squid, inetd, ssh1, POP3 (z baliku imap), apache

Predem diky za jakekoliv napady .....

Jaroslav Filip

----------------------------------------------------------------------------------------------
Mgr. Jaroslav Filip                     tel.: 068/5414144
internet administrator                mobil: 0605/287123
Meridian ITS, s.r.o.                   E-mail: filip na mits.cz
Karoliny Svetle 2, Olomouc      ICQ no.: 20517349
----------------------------------------------------------------------------------------------